共112 次浏览

DMZ区

我们知道一个公司需要有地方来存放机密数据,也需要有一个内部网络来进行员工之间的通讯。如果把所有企业内部的通讯都放置在公网上,那么不仅所有信息都会被人们看到,而且安全性得不到保障。因此一般的企业都会划立一个内网。将内网与公网相隔开,内网只有一个出口来接入公网。但是这还是满足不了有些企业的需求,于是DMZ区出现了。

由于部分企业划分了内网,内网与公网的进出口只有一个,会有防火墙等边界防御产品部署在进出口商进行防御。但是企业又有一些服务需要对外开放,比如邮件、论坛、FTP等等。这些服务的服务器不能部署在内网,因为部署在内网后,一旦被攻陷,黑客可以将服务器作为跳板,去攻击内网中的其他主机。安全性得不到保障。于是出现了放置在外网与内网之间的DMZ区,一个特殊的区域。

DMZ区的全程叫做“demilitarized zone”,中文名称隔离区,或者叫做非军事区。我们在上面提到了,企业划分了内网,并且在内网的出入口部署了防火墙。防火墙使得外网不能随意访问内网,保障内网安全。DMZ区就是为了解决部署防火墙后外网无法访问内网的一些必要服务器来设置的缓冲区域,也是安全系统与非安全系统的缓冲区。将内网的信任区接在DMZ区的后面,这样实现了内外网分离,又实现了必要的内部服务可以被外部访问。

由于DMZ区的特殊性,可以有两种部署方式,具体可以看下面的拓扑图:

可以在DMZ区的前后都部署防火墙,这样可以更加有效的保护内部网络。因为对于一般的情况来说,多了一道防火墙也就多了一道关卡。

也可以使用这样的部署方式

DMZ区是一个缓冲区,具有特殊的访问策略。DMZ区的具体访问策略为:

1.内网可以访问Internet
内网的用户需要自由的访问外网,我们的日常办公不可能不去接触外网的内容。
2.外网不可以访问内网
外网的用户不可以随便访问内网,内网存储着企业的一些敏感信息。
3.内网可以访问DMZ
这样方便内网用户对DMZ的管理和日常维护。
4.外网可以访问DMZ
我们设立DMZ的初衷就是方便外网访问一些必要的,原本在内网的服务。如果不允许外网访问DMZ,那就违背了我们的初衷。
5.DMZ不可以访问内网
这样是为了更好的保护内网的安全性,一旦DMZ区的主机被攻陷,可以防止攻击者继续向内网蔓延。
6.DMZ不可以访问外网
这一条规则可以有例外,如果在DMZ区部署邮件服务器的话,我们是需要允许DMZ访问外网的,否则邮件服务无法正常使用。

还有一点需要注意的是,堡垒主机一般会部署在DMZ区。关于堡垒主机的内容,可以看博客的另一篇文章:

堡垒机是什么

 

 

 

此条目发表在学习总结分类目录,贴了, 标签。将固定链接加入收藏夹。

DMZ区》有1条回应

  1. rbq说:

    哇塞哇塞哇塞吉吉哥博客真好

评论已关闭。